Los administradores de sistemas cometen errores y eso está bien, siempre que aprendan de ellos. Aprender de tus errores te permitirá desarrollar más habilidades, avanzar en tu carrera y convertirte en un mejor administrador de sistemas. Sin embargo, también es útil aprender de los errores de otros. Por eso he recopilado una lista de los 10 errores más comunes que cometen los administradores de sistemas, y cómo solucionar estos problemas.
Uso excesivo de la escalada de privilegios
Sudo permite a los usuarios ejecutar comandos con privilegios elevados desde los terminales y controlar quién puede ejecutar estos comandos en el sistema. Un administrador del sistema puede delegar el permiso para conceder a los usuarios la capacidad de ejecutar ciertos comandos como root u otro usuario, a la vez que proporciona un registro de auditoría de las acciones y sus argumentos.
Los adversarios pueden aprovechar los métodos mal configurados para escalar privilegios sin requerir la contraseña del usuario. Por ejemplo, es fácil que un administrador del sistema se frustre cada vez que un usuario requiere acceso sudo para una tarea menor, así que en lugar de encontrar una alternativa, el administrador del sistema concederá acceso sudo permanente a programas específicos para usuarios específicos. Tienes un camino claro hacia el root si el software te da acceso a un shell interactivo o puede escribir en el sistema de archivos.
Algunas mitigaciones a esto son la gestión de cuentas privilegiadas. Incluso si un atacante tiene acceso a la terminal, debe conocer la contraseña para ejecutar cualquier cosa en el archivo sudoers. Otra mitigación es restringir los permisos de archivos y directorios. El archivo sudoers debe ser modificado para que las contraseñas sean siempre requeridas y que los usuarios con mayores privilegios no puedan iniciar procesos peligrosos.
Puntos clave a tener en cuenta:
- Utilizar la gestión de cuentas de privilegios
- Restringir archivos y directorios
- Evite utilizar sudo si no es necesario
Uso de software anticuado
Muchos de nosotros somos culpables de posponer una actualización de software. Como administrador de sistemas, esta pereza puede ser perjudicial para su organización. Es fundamental que los administradores de sistemas hagan un seguimiento de los avisos de seguridad y que, en cuanto haya actualizaciones de seguridad disponibles, las instalen. Muchos servidores se han visto afectados porque nunca se instaló una corrección de hace un año y, en cambio, se vieron comprometidos por un ataque de día cero.
Algunos de los problemas de la falta de una actualización son, obviamente, las vulnerabilidades que quedan sin parchear. Los hackers a veces pueden ver los parches realizados en una actualización y utilizarlos para atacar sistemas que no han sido actualizados. Otro problema con la falta de actualizaciones podría no ser debido a una mala gestión, pero podría ser bloqueado porque dañaría una aplicación heredada.
Si se trata de un servidor crucial, es preferible perder unos minutos de tiempo de inactividad como parte de una ventana de mantenimiento programada que perder horas o días porque la caja ha sido efectivamente comprometida. Pruebe los parches tan pronto como se publiquen y establezca un calendario para la publicación de actualizaciones. Quizá haya formas de poner en cuarentena los servidores para limitar el riesgo, o de adoptar nuevas tecnologías para reducir la dependencia de los servicios heredados. La aplicación de parches puede ser un campo de minas político en la vida real. Si un directivo de mayor rango prohíbe la aplicación de parches en un sistema, asegúrese de que todos entienden las consecuencias de no hacerlo. Señale el problema a las partes interesadas y a la dirección.
Puntos clave a tener en cuenta:
- Pruebe los parches tan pronto como estén disponibles
- Ponga en cuarentena los servidores si no puede enviar una actualización crucial
- Asegúrese de que la dirección comprende la importancia de la actualización
Mala gestión de las contraseñas
Aunque las contraseñas siguen siendo una de las formas más seguras de autenticación disponibles, son vulnerables a una serie de riesgos de seguridad cuando se utilizan de forma incorrecta. El papel de la gestión de contraseñas es útil en esta situación. La gestión de contraseñas es un conjunto de directrices y buenas prácticas que los usuarios deben seguir al guardar y gestionar las contraseñas para mantenerlas lo más seguras posible y evitar accesos no deseados.
Con frecuencia, los servidores se configuran con credenciales de administrador débiles o con la misma contraseña que otras máquinas. Como mucha gente sigue cometiendo este error básico, los ataques de fuerza bruta que utilizan contraseñas comunes funcionan. El problema se agrava cuando varias máquinas comparten la misma contraseña.
Los administradores de sistemas deberían utilizar un archivo de claves en lugar de utilizar la misma contraseña de root en todos los ordenadores. Cada servidor debería tener un archivo de clave pública, y la clave privada debería estar emparejada con la clave pública en el escritorio del administrador del sistema.
Puntos clave a tener en cuenta:
- No utilice la misma contraseña de root en todas las máquinas, utilice un archivo de claves
- Asegúrese de que las credenciales de administrador son sólidas
- No tenga una lista de contraseñas almacenada en un archivo de texto
Solución de problemas de asignación incorrecta de VLAN
Los administradores de sistemas utilizan las redes de área local virtual (VLAN) para segmentar y organizar una red. La posibilidad de segmentar la red tiene una serie de ventajas, entre ellas una mayor seguridad porque los dispositivos sólo pueden conectarse con otros sistemas de la VLAN. Sólo los sistemas de su segmento VLAN son visibles para los usuarios. Puede ayudar a controlar el tráfico de difusión y el movimiento de los sistemas finales por la red.
Los usuarios serán enviados a la VLAN equivocada si no están correctamente configurados. Por ello, los administradores de sistemas tienen que enfrentarse a dificultades como que los dispositivos de red no puedan conectarse a los puertos de los conmutadores, que fallen los esfuerzos de registro de los dispositivos y que no se pueda conectar el dispositivo a servidores importantes, entre otras cosas.
Para asegurarse de que el dispositivo tiene la dirección IP correcta, pruebe el puerto del conmutador. Compruebe qué VLAN está configurada en ese puerto mediante una etiqueta VLAN y realice las modificaciones necesarias.
Con la documentación, puede evitar cometer un error con la configuración de la VLAN. Con frecuencia, la VLAN se asigna a un puerto equivocado debido a la falta de comunicación. Los administradores de sistemas, por ejemplo, nunca sabrían que hay que ajustar determinados puertos para que sean compatibles con los nuevos servicios si no hubiera documentación.
Puntos clave a tener en cuenta:
- Reconfigurar los puertos para soportar el nuevo servicio
- Compruebe la configuración del conmutador para validar la nueva asignación de VLAN
- Probar el puerto para ver qué VLANs son compatibles
Supervisar los archivos de registro en busca de señales de manipulación y ataque
Los archivos de registro hacen un seguimiento de lo que ocurre entre bastidores, de modo que si algo va mal en un sistema complejo, se puede consultar un registro completo de los eventos que ocurrieron antes del fallo. Este registro incluye transacciones, errores e intrusiones.
Podría haber una amenaza persistente avanzada o APT en su organización, o algún otro ataque en curso. Los signos de este ataque podrían estar en sus archivos de registro. También podría haber señales de errores de transacción que podrían requerir su atención.
Al hacer un seguimiento de los archivos de registro, puede aumentar la posibilidad de atrapar a un intruso y detenerlo antes de que se produzca un daño grave. Existe un software de filtrado de registros que puede ayudarle a analizar los datos y encontrar los mensajes de registro relevantes.
Puntos clave a tener en cuenta:
- Escriba los registros en dos ubicaciones distintas y compare los hashes
- No registre las contraseñas o las contraseñas fallidas de los inicios de sesión
- Utilizar software de filtrado de registros para ayudar a encontrar información relevante
Conflicto de direcciones IP
Por defecto, se asigna una dirección IP a cada dispositivo de la red. Sin embargo, dos dispositivos que comparten la misma dirección IP pueden impedir que los usuarios se conecten a la red. La configuración por defecto del Protocolo de Configuración Dinámica de Host (DHCP) en su router podría ser la culpable, así como un error humano manual.
Es fundamental tener un buen servidor DHCP en su red para proteger sus dispositivos de los conflictos de IP. Los servidores DHCP malos pueden contener vulnerabilidades que causan conflictos de IP al asignar direcciones IP a los dispositivos de la red de forma incorrecta durante la asignación dinámica de IP.
Reconfigure el router para asignar direcciones DHCP al extremo superior de su subred, dejando las direcciones IP estáticas fuera de la mezcla.
Puntos clave a tener en cuenta:
- Compruebe los conflictos de IP que surgen de los servidores DHCP
- Compruebe las políticas BYOD
- Libere y renueve su dirección IP
Evitar los fallos de DNS
El Sistema de Nombres de Dominio (DNS) es un sistema de nomenclatura descentralizado y jerárquico para identificar ordenadores, servicios y otros recursos accesibles a través de Internet u otras redes de Protocolo de Internet.
Un fallo de DNS impide a los usuarios acceder a Internet y a otras aplicaciones críticas.Una solicitud de conexión fallida se produce cuando el PC cliente no puede resolver el nombre del servidor con la dirección IP del mismo. El envenenamiento de la caché, el ataque DDoS y el ataque de reenganche de DNS son algunos de los exploits que los adversarios pueden utilizar para inducir un fallo de DNS.
En el caso de redes muy activas, las estaciones de trabajo pueden estar configuradas para utilizar su servidor DNS, lo que provoca un cruce de DNS hacia los servidores de su ISP, sobrecargando el router. Para acceder directamente a sus servidores DNS, cambie la configuración DHCP del cliente. Desactive la recursión de DNS para evitar ataques de envenenamiento de DNS. Disponga de un servidor que se active en caso de fallo de los servidores de nombres.
Puntos clave a tener en cuenta:
- Configurar correctamente los ajustes DHCP
- Esté preparado con una conmutación por error de DNS
- Desactivar la recursión de DNS para evitar el envenenamiento de la caché
Mejores prácticas en las auditorías de seguridad
Una auditoría de seguridad es un examen exhaustivo del sistema de información de su empresa. A menudo, este examen compara la seguridad de su sistema con una lista de verificación de las mejores prácticas del sector, normas definidas externamente o reglamentos federales. La auditoría implica un examen exhaustivo de todos los aspectos de su infraestructura de TI, incluidos los sistemas operativos, los servidores, las herramientas de comunicación e intercambio digital, las aplicaciones, los métodos de almacenamiento y recopilación de datos, etc.
Una auditoría de seguridad proporcionará una hoja de ruta de los principales defectos de seguridad de la información de su organización, identificando dónde cumple y dónde no cumple los requisitos establecidos por la organización. Para las empresas que manejan datos sensibles y confidenciales de las personas, las auditorías de seguridad son esenciales para elaborar planes de evaluación de riesgos y medidas de mitigación.
En el mercado existen diversas técnicas de auditoría asistida por ordenador (CAAT) que pueden ayudarle a automatizar el proceso de auditoría. Las CAAT recorren los procesos de una auditoría de forma regular, buscando vulnerabilidades y generando informes de auditoría automáticamente.
Puntos clave a tener en cuenta:
- Comprender que las auditorías son esenciales para la seguridad
- Contratar a un auditor externo
- Utilizar los CAAT para automatizar el proceso de auditoría
Mala gestión de claves SSH
SSH es un protocolo seguro que se utiliza habitualmente para conectarse a servidores Linux. Al establecer un shell remoto, proporciona una interfaz basada en texto. Todos los comandos que introduzca en su terminal se transfieren al servidor remoto y se ejecutan allí después de conectarse. Todos los comandos que escribas en tu terminal se transfieren a través de un túnel SSH encriptado y se ejecutan en tu servidor durante la duración de tu sesión SSH. Los administradores de sistemas utilizan SSH con frecuencia, junto con las claves SSH.
Una mala gestión de las claves SSH le expone a riesgos y le hace incumplir la normativa del sector. Si tiene sus claves por ahí o las reparte con frecuencia a todo el mundo, eso es obviamente muy malo para la seguridad. Tener una configuración de gestión de claves inadecuada también podría afectar a las necesidades de cumplimiento.
La gestión de claves SSH es un conjunto de políticas, procesos y herramientas que le permiten salvaguardar y gestionar dichos pares de claves digitales. Los usuarios pueden utilizar claves de shell seguras para autenticarse en su red, servidores u otros sistemas y transferir archivos de forma segura sin tener que iniciar sesión cada vez.
Puntos clave a tener en cuenta:
- Vigilar la rotación de las claves SSH
- Las claves SSH deben estar vinculadas a una persona específica y no a una cuenta a la que puedan acceder varias personas
- Encuentre y mantenga un inventario de todas las claves SSH
Puertos mal configurados y abiertos
Los puertos permiten que los dispositivos se comuniquen entre sí. Para realizar sus tareas, los servicios y aplicaciones orientados a Internet escuchan esencialmente en los puertos una conexión desde el exterior. La comunicación entre hosts a través de Internet es imposible sin puertos.
Cuando se trata de puertos, uno de los problemas más comunes es que aquellos que no deberían estar abiertos se dejan abiertos accidentalmente. Un administrador puede haber abierto un puerto para cumplir con una solicitud y luego olvidarse de él. Un programa puede haber cambiado automáticamente la configuración del cortafuegos, dejando algunos puertos abiertos sin su conocimiento.
Los puertos que no son absolutamente necesarios deben cerrarse lo antes posible. Una forma de ayudar a mitigar este riesgo es ejecutar escaneos de puertos con herramientas como Nmap de forma regular.
Puntos clave a tener en cuenta:
- Compruebe si hay puertos abiertos con escáneres de vulnerabilidad
- Después de abrir un puerto para peticiones, recuerde cerrarlo
- Compruebe los puertos que puedan haberse abierto a partir de la configuración del cortafuegos
Conclusión
Cometer errores y aprender de ellos es parte del proceso de crecimiento como administrador de sistemas. Aprender de los errores de otros también puede ser una herramienta inestimable, sin comprometer la seguridad en el proceso. En este artículo, echamos un vistazo a 10 errores comunes que los administradores de sistemas cometen cuando se trata de la seguridad, y consejos para evitar estas trampas.